ESET révèle une opération qui cible des entités gouvernementales

Prochain article

Octobre. Les Dukes (alias APT29 et Cozy Bear) ont brièvement été sous les feux de la rampe après leur implication supposée dans le piratage du Conseil National Démocrate (DNC) lors de la campagne électorale américaine de 2016. Après une attaque en Norvège en janvier 2017 et malgré un retour supposé en novembre 2018, les Dukes semblaient avoir disparu de la scène du cyberespionnage. Pourtant, des chercheurs d’ESET ont mis au jour une opération baptisée « Operation Ghost », qui a démarré beaucoup plus tôt, en 2013, et qui continue encore aujourd’hui. Les Dukes ont infiltré une ambassade de l’Union européenne à Washington, D.C., ainsi que des ministères des Affaires étrangères dans au moins trois pays différents en Europe.

ESET a identifié trois nouvelles familles de malwares associées aux Dukes, à savoir PolyglotDuke, RegDuke et FatDuke. « L’une des premières traces publiques de cette campagne peut être détectée sur Reddit en juillet 2014 », explique Matthieu Faou, chercheur d’ESET. « Nous pouvons confirmer avec une quasi-certitude que le même groupe se cache derrière l’Operation Ghost et l’attaque du DNC », ajoute-t-il.

Chronologie de « l’Operation Ghost » basée sur les données de télémétrie d’ESET.

Ces attaques ont été attribuées aux Dukes du fait de plusieurs similitudes tactiques observées entre cette campagne et les opérations précédentes du groupe. Plus précisément, les Dukes se sont servis de Twitter et Reddit pour héberger des URL du serveur de commande et de contrôle et ils ont utilisé une sténographie en images pour camoufler des charges utiles ou des commandes malveillantes. Par ailleurs, les ministères des Affaires étrangères ont continué d’être pris pour cibles puisque deux des trois cibles avaient été auparavant corrompues par le groupe et avaient encore au moins un ordinateur infecté par d’« anciens » malwares Dukes installés plusieurs mois plus tôt. Nouvelle preuve : les fortes similitudes de code entre les échantillons déjà documentés et l’Operation Ghost.

« En 2013, à la première date de compilation connue de PolyglotDuke, seul MiniDuke avait été documenté et par conséquent, nous pensons que l’Operation Ghost était menée en parallèle des autres campagnes, et qu’elle avait échappé aux radars jusqu’à présent », explique Matthieu Faou.

Dans l’Operation Ghost, les Dukes ont utilisé un nombre limité d’outils, mais ils se sont servis de nombreuses tactiques intéressantes pour éviter d’être détectés. Les Dukes sont très persévérants et ils volent méthodiquement les mots de passe afin de les utiliser pour se déplacer latéralement dans le réseau. ESET les a détectés alors qu’ils utilisaient des mots de passe administratifs pour corrompre ou re-corrompre des ordinateurs dans le même réseau local.

Les Dukes ont une plateforme sophistiquée de malwares, décomposée en quatre phases. Dans un premier temps, les malwares vont chercher l’URL du serveur de commande et de contrôle via Twitter ou d’autres réseaux sociaux ou sites Internet. Dans un deuxième temps, ils utilisent Dropbox pour recevoir les commandes des pirates. Dans un troisième temps, ils placent une simple porte dérobée, laquelle place à son tour, lors de la dernière étape, une porte dérobée plus sophistiquée dotée d’un grand nombre de fonctionnalités et d’une configuration flexible.

Pour plus d’informations, consultez l’article (en anglais) « Operation Ghost: The Dukes aren’t back – they never left » et un livre blanc détaillé ici. Suivez ESET Research sur Twitter pour rester informé(e) des derniers travaux de recherche d’ESET.

CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr

À propos d'ESET
Fondée en 1992, la société ESET 1er éditeur européen en solutions de cybersécurité est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public (avec respectivement les rangs de 4ème et 5ème mondial). Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine. Il est désigné comme l’unique Challenger dans le Magic Quadrant 2018 de Gartner, catégorie Endpoint Protection Platforms. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. Les solutions ESET protègent aujourd’hui plus de 900 millions de postes dans le monde.

Pour plus d’informations :  www.eset.com/fr  Blog :  www.welivesecurity.com/fr/